Uber bezahlte Hacker, um Datendiebstahl bei 57 Millionen Betroffenen zu vertuschen

Der amerikanische Fahrdienstleister Uber sah sich bereits 2016 einem massiven Datendiebstahl ausgesetzt. Erst jetzt wird das fragwürdige Verhalten des Unternehmens bekannt: Uber verheimlichte den Datenverlust nicht gegenüber seinen Kunden und Mitarbeitern, sondern zahlte den Hackern sogar in Schweigegeld. [...]

Das US-Unternehmen Uber erlitt im Oktober 2016 einen massiven Datendiebstahl. 57 Millionen Fahrer- und Kunden-Konten waren davon betroffen. Uber hielt diesen Datenverlust nicht nur gegenüber den Betroffenen geheim, sondern bezahlte den Hackern 100.000 US-Dollar, damit diese die Daten löschen und darüber schweigen sollten. Die gehackten Daten umfassen Emailadressen und Telefonnummer der Kunden und persönliche Informationen der Fahrer, wie Führerscheindetails. 
Uber‘s Programmierer haben Sicherheits-Berechtigungen an ein GitHub Repository hochgeladen. Das lässt sich als eine Art Aufbewahrungsort für Quellcode verstehen, kein Ort jedoch um Sicherheitsschüssel abzulegen. Hier stolperten Hacker darüber, konnten auf Ubers Server, der von Amazon gehostet wird, zugreifen, und sich darüber Zugang zu den persönlichen Informationen verschaffen. Ein ähnliches Diebstahl-Szenario passierte Uber schon einmal: der Einbruch wurde im Mai 2015 entdeckt, aber nicht vor Februar 2015 bekannt gegeben. 
Fehler bei Entwicklern und Unternehmen
Für Sophos-Experte Chester Wisniewski ein bekanntes Szenario: „Der Datenverlust bei Uber demonstriert einmal mehr, wie wichtig es für Entwickler ist, die Sicherheit ernst zu nehmen und niemals Zugangszeichen oder -schlüssel in Quellcode-Repositories einzubinden oder einzusetzen. Ich würde sagen, diesen Ablauf habe ich schon einmal gesehen, aber normalerweise werden Organisationen nicht ertappt, während sie aktiv an einer Verschleierung beteiligt sind. Lässt man das Drama und die möglichen Auswirkungen, die die kommende europäische Datenschutzgrundverordnung einfordert, einmal außer Acht, zeigt sich: hier war wieder mal ein sorgloses Entwicklungsteam mit ungenügender Sicherheitspraxis am Werk, das Zugangsdaten geteilt hat. Traurig, dass das weitaus öfter der Fall in agilen Entwicklungsumgebungen ist, besonders in schnell wachsenden Technologie-Startups.“ 
James Lyne, Sophos Cyber Security Berater: „Uber ist nicht das einzige und wird nicht das letzte Unternehmen sein, dass eine Cyberattacke oder Datendiebstahl verheimlichen wird. Kunden nicht zu informieren, setzt sie aber einem viel größeren Risiko aus, Opfer von Erpressung zu werden. Aus diesem Grund drängen viele Länder auf eine Regulierung mit rechtsverbindlicher Bekanntgabe eines Diebstahls.“
Für Uber-Kunden und -Fahrer empfiehlt Sophos:
Das ganze Ausmaß des Datendiebstahls liegt noch im Verborgenen. Deswegen: statt blindem Aktionismus, erst einmal abwarten und die Augen für zusätzliche Informationen offenhalten. Und auch den Blick für Veränderungen auf Kontoauszügen schärfen. Programmierer sollten das Mantra wiederholen: GitHub ist für Quellcode, nicht für Sicherheitsschlüssel. Und Unternehmen sollten sich auf die Fahnen schreiben: Datendiebstahl muss öffentlich gemacht werden, ob gesetzlich verpflichtend oder nicht. Mindestens ein gut sichtbarer Hinweis auf der Webseite ist notwendig, um die Kunden zu informieren und auf dem Laufenden zu halten. 

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*